Komputer może jednocześnie korzystać z IPv4 i IPv6, ale nie oznacza to, że oba protokoły są skonfigurowane równie dobrze. W wielu domowych i firmowych sieciach IPv6 działa „przy okazji”: operator przydziela prefiks, router rozsyła go urządzeniom, a administrator nadal kontroluje wyłącznie reguły IPv4. To poważniejszy problem niż brak IPv6, ponieważ tworzy drugi kanał komunikacji, którego monitoring i firewall mogą nie obejmować.
Różnica między protokołami nie sprowadza się więc do wyglądu adresu. IPv4 wymusza oszczędzanie ograniczonej przestrzeni adresowej i powszechne stosowanie NAT. IPv6 zapewnia ogromną pulę adresów, ale wymaga innego podejścia do segmentacji, DNS, filtrowania ruchu oraz udostępniania usług. W regionie obsługiwanym przez RIPE NCC, obejmującym Polskę, pula nowych adresów IPv4 została wyczerpana już w listopadzie 2019 roku. IPv4 nadal działa, lecz jego dalsze skalowanie opiera się na odzyskiwaniu adresów, rynku wtórnym i kolejnych warstwach translacji.
IPv4: prosty adres, coraz bardziej skomplikowana sieć
Adres IPv4 ma długość 32 bitów, co daje 2³², czyli 4 294 967 296 możliwych kombinacji. Nie wszystkie można przydzielić urządzeniom w publicznym internecie — część przestrzeni przeznaczono między innymi na sieci prywatne, multicast, adresy specjalne i dokumentację.
Typowy adres wygląda tak:
192.168.1.20
Cztery liczby oddzielone kropkami są wygodne dla człowieka, ale sama prostota zapisu nie rozwiązuje podstawowego ograniczenia: urządzeń podłączonych do sieci jest znacznie więcej niż dostępnych publicznych adresów IPv4.
Dlatego domowy router zwykle przydziela urządzeniom adresy prywatne, na przykład z zakresów:
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16.
Następnie wykorzystuje NAT, a dokładniej najczęściej translację adresów i portów, aby kilkanaście lub kilkaset urządzeń mogło korzystać z jednego publicznego adresu. Dla przeglądania stron, streamingu i poczty działa to dobrze. Kłopoty zaczynają się przy ruchu przychodzącym.
Uruchomienie serwera, rejestratora kamer, domowego NAS-a albo własnej usługi wymaga zwykle:
- publicznego adresu IPv4,
- przekierowania odpowiedniego portu,
- reguły firewalla,
- stałego adresu urządzenia w sieci lokalnej,
- konfiguracji dynamicznego DNS, gdy operator zmienia adres klienta.
Nawet poprawne przekierowanie portów nie pomoże, jeżeli operator stosuje CGNAT, czyli NAT po swojej stronie. W takim układzie klient nie otrzymuje indywidualnego publicznego IPv4. Adres widoczny na interfejsie WAN routera jest prywatny albo należy do zakresu 100.64.0.0/10, a połączenia przychodzące zatrzymują się wcześniej — w sieci operatora.
To częsta niedogodność w internecie mobilnym, ofertach bezprzewodowych i części tańszych łączy stacjonarnych. Rozwiązaniem może być płatny publiczny adres, VPN z przekierowaniem portów albo dostęp do usługi przez tunel zestawiany od środka. Każda z tych metod dodaje jednak kolejną zależność i utrudnia diagnostykę.
NAT bywa mylony z firewallem. To błąd. Translacja rzeczywiście utrudnia spontaniczne połączenie z internetu do urządzenia, ale nie zastępuje świadomej polityki bezpieczeństwa. Zainfekowany komputer nadal może inicjować ruch wychodzący, a źle ustawione UPnP potrafi automatycznie utworzyć przekierowanie portu bez wiedzy użytkownika.
W firmie dodatkowym problemem jest identyfikacja źródła ruchu. Gdy setki urządzeń wychodzą do internetu przez jeden adres publiczny, samo zapisanie adresu IP w logach nie wystarcza. Potrzebne są również znaczniki czasu, numery portów, logi translacji oraz poprawnie zsynchronizowane zegary. Bez tego ustalenie, który laptop lub serwer nawiązał konkretne połączenie, może być niemożliwe.
IPv6: większa pula adresów nie zwalnia z projektowania
IPv6 używa adresów 128-bitowych, więc liczba dostępnych kombinacji jest niewspółmiernie większa niż w IPv4. Adres zapisuje się szesnastkowo, w ośmiu grupach oddzielonych dwukropkami:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Zera można skracać. Ten sam adres może więc przyjąć postać:
2001:db8:85a3::8a2e:370:7334
Długi zapis wygląda nieporęcznie, lecz w codziennej pracy administrator nie powinien zarządzać usługami przez ręczne zapamiętywanie adresów. Od tego są DNS, rezerwacje, systemy IPAM i automatyzacja konfiguracji. Specyfikacja IPv6 definiuje adresy 128-bitowe, a architektura adresowania obejmuje między innymi unicast, multicast i anycast.
Najważniejsza zmiana polega na tym, że urządzenie może otrzymać własny globalnie routowalny adres bez chowania całej sieci za klasycznym NAT-em. Nie znaczy to jednak, że każdy komputer ma być dostępny z internetu. O tym nadal decyduje firewall stanowy, który powinien domyślnie blokować niezamówione połączenia przychodzące.
W typowej sieci spotyka się kilka rodzajów adresów IPv6:
- link-local z zakresu
fe80::/10— działają wyłącznie w obrębie lokalnego segmentu i są używane między innymi przez mechanizmy sąsiedztwa oraz komunikację z routerem, - global unicast — adresy routowalne w internecie, zwykle przydzielane z prefiksu otrzymanego od operatora,
- ULA z zakresu
fc00::/7, w praktyce najczęściejfd00::/8— adresy przeznaczone do komunikacji wewnętrznej, podobne funkcjonalnie do prywatnych zakresów IPv4, choć nie są ich dokładnym odpowiednikiem, - multicast — komunikacja kierowana do określonej grupy odbiorców.
IPv6 nie używa klasycznego broadcastu znanego z IPv4. Jego zadania przejmują mechanizmy multicastowe, w tym Neighbor Discovery. To ogranicza część rozgłoszeń, ale stawia nowe wymagania przed przełącznikami i zabezpieczeniami. Blokowanie całego ICMPv6, często wykonywane odruchowo przez niedoświadczonych administratorów, potrafi zepsuć wykrywanie sąsiadów, ustalanie maksymalnego rozmiaru pakietu i autokonfigurację.
Urządzenia mogą otrzymywać konfigurację na kilka sposobów:
- SLAAC — host tworzy adres na podstawie prefiksu ogłoszonego przez router,
- DHCPv6 — serwer przekazuje adresy lub dodatkowe parametry,
- SLAAC i DHCPv6 jednocześnie — popularny model, gdy adres jest tworzony automatycznie, a serwer dostarcza pozostałe ustawienia,
- konfiguracja statyczna — stosowana głównie na serwerach i urządzeniach infrastruktury.
SLAAC obejmuje między innymi tworzenie adresu link-local, konfigurację adresów globalnych oraz sprawdzanie, czy adres nie jest już używany w danym segmencie.
Trzeba też uwzględnić zachowanie systemów końcowych. Laptopy i telefony często używają tymczasowych adresów IPv6, które okresowo się zmieniają, aby utrudnić śledzenie urządzenia na podstawie stałej części adresu. Poprawia to prywatność użytkownika, ale irytuje przy analizie logów. Dlatego identyfikowanie pracownika wyłącznie po adresie IPv6 jest kiepskim pomysłem — potrzebne są logi DHCPv6, dane z kontroli dostępu do sieci, uwierzytelnianie użytkowników albo telemetria z urządzeń. Mechanizm adresów tymczasowych służy właśnie ograniczaniu korelacji aktywności na podstawie niezmiennego identyfikatora.
IPv6 nie jest automatycznie szybszy. Może zapewnić krótszą trasę niż połączenie IPv4 prowadzone przez CGNAT, ale równie dobrze może działać gorzej, gdy operator ma słaby peering IPv6, błędnie skonfigurowane MTU albo przeciążone punkty wymiany ruchu. Wynik trzeba mierzyć, a nie zakładać.
Jak wdrożyć IPv6 bez stworzenia drugiej, niekontrolowanej sieci
Najrozsądniejszym etapem przejściowym jest zwykle dual-stack, czyli równoległe działanie IPv4 i IPv6. Urządzenie wybiera protokół zależnie od dostępności rekordu DNS, konfiguracji systemu i jakości połączenia. To ułatwia migrację, ale zwiększa zakres pracy: trzeba zarządzać dwiema adresacjami, dwiema politykami filtrowania i dwoma zestawami testów.
Najgorszy wariant to dual-stack uruchomiony przypadkiem. Serwer ma rekord AAAA, usługa odpowiada po IPv6, lecz:
- firewall filtruje wyłącznie IPv4,
- system wykrywania włamań nie analizuje IPv6,
- VPN obejmuje tylko podsieci IPv4,
- monitoring sprawdza jedynie adres A,
- administrator testuje usługę z sieci, która nie ma łączności IPv6.
W efekcie strona może działać u jednych użytkowników, a u innych ładować się z opóźnieniem lub nie odpowiadać wcale. Rekord A wskazuje adres IPv4, a rekord AAAA — adres IPv6. Rekordu AAAA nie należy publikować „na zapas”. Powinien pojawić się dopiero wtedy, gdy usługa faktycznie nasłuchuje na IPv6, ma poprawną trasę, certyfikat, monitoring oraz reguły bezpieczeństwa.
Praktyczna kolejność wdrożenia wygląda następująco:
- Sprawdź łącze operatora.
Ustal, czy dostajesz natywny IPv6, jaki prefiks jest delegowany i czy pozostaje stabilny. W domu często będzie to/56albo/64, lecz dokładna wartość zależy od oferty. Dla firmy pojedyncze/64jest zwykle zbyt ograniczające, ponieważ każdy osobny segment sieci powinien otrzymać własny prefiks/64. - Zweryfikuj sprzęt i licencje.
Router może deklarować obsługę IPv6, a mimo to nie zapewniać filtrowania, VPN, raportowania przepływów lub pełnej obsługi routingu w tym protokole. Szczególnie dokładnie trzeba sprawdzić starsze firewalle, urządzenia UTM, rejestratory kamer, drukarki i systemy automatyki. - Zaprojektuj podział prefiksu.
Nie wrzucaj użytkowników, serwerów, gości i IoT do jednego segmentu tylko dlatego, że adresów jest dużo. Osobne sieci powinny otrzymać między innymi:- komputery pracowników,
- serwery,
- telefonię,
- monitoring,
- urządzenia IoT,
- Wi-Fi dla gości,
- urządzenia administracyjne.
- Skopiuj intencję polityki bezpieczeństwa, nie same reguły.
Bezmyślne przepisanie list ACL z IPv4 rzadko wystarcza. W IPv6 trzeba uwzględnić adresy link-local, ICMPv6, Neighbor Discovery, Router Advertisement i możliwość korzystania przez hosta z kilku adresów jednocześnie. Oficjalne zalecenia operacyjne podkreślają, że IPv6 wprowadza własne wyzwania bezpieczeństwa, dlatego wymaga odrębnej analizy, a nie tylko zaznaczenia opcji „Enable IPv6”. - Włącz protokół w jednym kontrolowanym segmencie.
Dobrym kandydatem jest sieć testowa z kilkoma laptopami i serwerem niekrytycznym. Złym — monitoring produkcyjny, system kasowy albo segment przemysłowy, którego urządzenia mają stare oprogramowanie. - Przetestuj pełną ścieżkę.
Sprawdź:- pobieranie adresu i bramy,
- rozwiązywanie rekordów AAAA,
- dostęp do internetu po IPv6,
- blokowanie niezamówionych połączeń przychodzących,
- działanie VPN,
- logowanie zdarzeń,
- dostęp między VLAN-ami,
- monitoring usług,
- zachowanie po zmianie prefiksu operatora.
- Dopiero później publikuj usługi w DNS.
Najpierw uruchom nasłuch IPv6, zabezpiecz port, przetestuj połączenie spoza własnej sieci i dodaj monitoring po IPv6. Rekord AAAA jest ostatnim krokiem, nie pierwszym.
Wyłączanie IPv4 od razu zwykle nie ma sensu. Część aplikacji, urządzeń i usług zewnętrznych nadal może wymagać IPv4. Sieci IPv6-only korzystają z mechanizmów takich jak NAT64, DNS64 lub 464XLAT, ale są to rozwiązania dla środowisk świadomie zaprojektowanych i dokładnie przetestowanych. W małej firmie pochopne przejście na IPv6-only może przynieść więcej zgłoszeń serwisowych niż oszczędności.
Nie należy też wyłączać IPv6 na komputerach „dla bezpieczeństwa”, gdy infrastruktura lub system operacyjny zakłada jego dostępność. Lepszą decyzją jest poprawne filtrowanie i monitoring. Wyłączenie protokołu potrafi ukryć błędy projektu, a później utrudnić działanie VPN, usług lokalnych albo mechanizmów zależnych od IPv6.
FAQ: IPv4 i IPv6 w praktyce
Czy IPv6 całkowicie zastąpi IPv4?
Docelowo taki jest kierunek rozwoju internetu, ale oba protokoły będą współistnieć jeszcze długo. W większości polskich firm bezpieczniejszym etapem przejściowym jest kontrolowany dual-stack.
Czy urządzenie z publicznym adresem IPv6 jest dostępne z internetu?
Nie musi być. Adres może być globalnie routowalny, ale firewall powinien blokować niezamówione połączenia przychodzące. Publiczny adres i otwarty port to dwie różne kwestie.
Czy IPv6 wymaga NAT-u?
Zwykle nie. NAT66 istnieje, lecz nie powinien być domyślnym sposobem projektowania sieci. Ochronę zapewnia firewall, a nie ukrywanie adresów za translacją.
Czy IPv6 przyspieszy połączenie?
Nie ma takiej gwarancji. Może ominąć przeciążony CGNAT albo korzystać z lepszej trasy, ale przy słabej konfiguracji operatora będzie działać wolniej niż IPv4.
Dlaczego strona działa po IPv4, ale nie po IPv6?
Najczęściej rekord AAAA wskazuje błędny adres, firewall blokuje ruch, serwer nasłuchuje tylko na IPv4 albo operator nie zapewnia poprawnej trasy. Sprawdzenie trzeba zacząć od DNS i nasłuchujących portów, a następnie przejść do filtrowania oraz routingu.
Czy można korzystać z IPv6 bez DHCPv6?
Tak. SLAAC pozwala urządzeniom tworzyć adresy na podstawie ogłoszeń routera. DHCPv6 jest potrzebny wtedy, gdy administrator chce centralnie przekazywać określone parametry lub kontrolować przydział adresów.
Czy w domu trzeba ręcznie konfigurować IPv6?
Najczęściej nie. Operator deleguje prefiks routerowi, a router rozsyła konfigurację urządzeniom. Ręczna ingerencja jest potrzebna przy własnych serwerach, nietypowym firewallu, kilku segmentach sieci albo problemach z delegacją prefiksu.
Czy należy publikować rekord AAAA dla każdej domeny?
Nie. Rekord AAAA dodaje się dopiero po potwierdzeniu, że dana usługa działa po IPv6, jest zabezpieczona i monitorowana. Błędny rekord może powodować opóźnienia albo brak dostępu u części użytkowników.
Pierwszy krok nie polega na włączeniu IPv6 na wszystkich urządzeniach. Najpierw sprawdź interfejs WAN routera, delegowany prefiks, rekordy AAAA oraz reguły firewalla IPv6. Jeżeli protokół już działa, ale nie jest widoczny w monitoringu i politykach bezpieczeństwa, usuń właśnie ten błąd. Dopiero po odzyskaniu kontroli nad istniejącym ruchem rozszerzaj wdrożenie na kolejne segmenty.
